Google versione del browser web ... Contemporaneamente rilascio stabile di un progetto gratuito , che funge da base per Chrome. Browser Chrome l'uso dei loghi di Google, la presenza di un sistema per l'invio di notifiche in caso di crash, la possibilità di scaricare un modulo Flash su richiesta, moduli per la riproduzione di contenuti video protetti (DRM), un sistema per l'installazione automatica degli aggiornamenti e la trasmissione durante la ricerca . La prossima release di Chrome 85 è prevista per il 25 agosto.
:
- supporto per i protocolli TLS 1.0 e TLS 1.1. Per accedere ai siti tramite un canale di comunicazione sicuro, il server deve fornire supporto almeno per TLS 1.2, altrimenti il browser ora visualizzerà un errore. Secondo Google, attualmente circa lo 0.5% dei download di pagine web continua ad essere effettuato utilizzando versioni obsolete di TLS. L'arresto è stato effettuato in conformità IETF (Task Force di ingegneria di Internet). Il motivo del rifiuto di TLS 1.0/1.1 è la mancanza di supporto per i cifrari moderni (ad esempio, ECDHE e AEAD) e l'esigenza di supportare i vecchi cifrari, la cui affidabilità è messa in dubbio nell'attuale fase di sviluppo della tecnologia informatica (ad esempio , è richiesto il supporto per TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 e SHA-1). L'impostazione che consente il ritorno a TLS 1.0/1.1 verrà mantenuta fino a gennaio 2021.
- Blocco fornito (senza crittografia) di file eseguibili e avvisi aggiunti quando si caricano archivi in modo non sicuro. In futuro si prevede di interrompere gradualmente il supporto del caricamento di file senza crittografia. Il blocco viene implementato perché il download di file senza crittografia può essere utilizzato per eseguire azioni dannose sostituendo il contenuto durante gli attacchi MITM.
- supporto iniziale , sviluppato come alternativa all'intestazione User-Agent. Il meccanismo Client Hints offre una serie di intestazioni "Sec-CH-UA-*" in sostituzione di User-Agent, che consente di organizzare la consegna selettiva di dati solo su browser specifici e parametri di sistema (versione, piattaforma, ecc.) dopo una richiesta da parte del server. L'utente ha l'opportunità di determinare quali parametri sono accettabili per la consegna e di fornire selettivamente tali informazioni ai proprietari del sito. Quando si utilizzano i Client Hints, per impostazione predefinita l'identificatore non viene trasmesso senza una richiesta esplicita, il che rende impossibile l'identificazione passiva (per impostazione predefinita viene indicato solo il nome del browser). su fino al prossimo anno.
- attivazione
più stringente trasferimento di cookie tra siti, che era a causa del COVID-19. Per le richieste non HTTPS è vietato il trattamento dei Cookie di terze parti impostati quando si accede a siti diversi dal dominio della pagina corrente. Tali cookie vengono utilizzati per tracciare i movimenti dell'utente tra i siti nel codice delle reti pubblicitarie, nei widget dei social network e nei sistemi di analisi web.Ricordiamo che per controllare la trasmissione dei Cookie viene utilizzato l'attributo SameSite specificato nell'header Set-Cookie, che per default sarà impostato al valore “SameSite=Lax”, che limita l'invio di Cookie per sottorichieste cross-site , ad esempio una richiesta di immagine o il caricamento di contenuti tramite un iframe da un altro sito. I siti possono sovrascrivere il comportamento predefinito di SameSite impostando in modo esplicito l'impostazione Cookie su SameSite=None. Inoltre il valore SameSite=None per Cookie è impostabile solo in modalità Secure (valida per connessioni tramite HTTPS). Il cambiamento verrà implementato in più fasi, iniziando con una piccola percentuale di utenti e poi espandendo gradualmente la sua portata.
- Aggiunta implementazione sperimentale , che può essere attivato utilizzando l'impostazione "chrome://flags/#enable-heavy-ad-intervention". Il blocco consente di disabilitare automaticamente i blocchi pubblicitari iframe dopo il superamento delle soglie di traffico e di carico della CPU. Il blocco verrà attivato se il thread principale ha consumato più di 60 secondi di tempo CPU in totale o 15 secondi in un intervallo di 30 secondi (consumando il 50% delle risorse per più di 30 secondi), nonché quando più di 4 MB di dati è stato scaricato sulla rete.
Il blocco funzionerà solo se, prima del superamento dei limiti, l'utente non ha interagito con l'unità pubblicitaria (ad esempio, non ha cliccato su di essa), il che, tenendo conto delle limitazioni del traffico, consentirà la riproduzione automatica di grandi bloccare i video in pubblicità senza che l'utente ne attivi esplicitamente la riproduzione. Le misure proposte salveranno gli utenti dalla pubblicità con un'implementazione inefficiente del codice o da attività parassitarie deliberate (ad esempio, il mining). Secondo le statistiche di Google, la pubblicità che rientra nei criteri di blocco costituisce solo lo 0.30% di tutte le unità pubblicitarie, ma allo stesso tempo tali inserti pubblicitari consumano il 28% delle risorse della CPU e il 27% del traffico del volume totale della pubblicità.
- È stato fatto del lavoro per ridurre il consumo di risorse della CPU quando la finestra del browser non è nel campo visivo dell'utente. Chrome ora controlla se la finestra del browser è sovrapposta ad altre finestre e impedisce di disegnare pixel nelle aree di sovrapposizione. La nuova funzionalità verrà implementata gradualmente: l'ottimizzazione sarà abilitata selettivamente per alcuni utenti in Chrome 84 e per altri in Chrome 85.
- La protezione è abilitata per impostazione predefinita , come le richieste di spam per ricevere notifiche push. Poiché tali richieste interrompono il lavoro dell'utente e distolgono l'attenzione sulle azioni nelle finestre di dialogo di conferma, invece di una finestra di dialogo separata nella barra degli indirizzi, verrà visualizzato un suggerimento informativo che non richiede l'azione dell'utente, avvertendo del blocco della richiesta di autorizzazioni, che automaticamente collassa in un indicatore con un campanello barrato. Facendo clic sull'indicatore è possibile attivare o rifiutare l'autorizzazione richiesta in qualsiasi momento opportuno.
- La scelta dell'utente viene ricordata quando si aprono gestori per protocolli esterni: l'utente può selezionare "consenti sempre questo sito" per un gestore specifico e il browser ricorderà questa decisione in relazione al sito corrente.
- Aggiunta protezione contro la modifica delle impostazioni dell'utente senza consenso esplicito. Se il componente aggiuntivo modifica il motore di ricerca predefinito o la pagina visualizzata per una nuova scheda, il browser visualizzerà ora una finestra di dialogo che chiede di confermare l'operazione specificata o di annullare la modifica.
- implementazione della protezione contro il caricamento di contenuti multimediali misti (quando le risorse vengono caricate su una pagina HTTPS tramite il protocollo http://). Nelle pagine aperte tramite HTTPS, i collegamenti “http://” verranno ora sostituiti automaticamente con “https://” nei blocchi associati al caricamento delle immagini (script e iframe erano precedentemente sostituiti, è prevista la sostituzione automatica delle risorse audio e video in la prossima edizione). Se un'immagine non è disponibile tramite https, il suo download viene bloccato (è possibile contrassegnare manualmente il blocco tramite il menu accessibile tramite il simbolo del lucchetto nella barra degli indirizzi).
- Aggiunto supporto API (sviluppato come SMS Receiver API), che consente di organizzare l'inserimento di una password monouso su una pagina web dopo aver ricevuto un messaggio SMS con un codice di conferma consegnato allo smartphone Android dell'utente su cui è in esecuzione il browser. La conferma via SMS, ad esempio, può essere utilizzata per verificare il numero di telefono specificato dall'utente durante la registrazione. Se in precedenza l'utente doveva aprire l'applicazione SMS, copiare il codice da essa negli appunti, tornare al browser e incollare questo codice, la nuova API consente di automatizzare questo processo e ridurlo a un solo tocco.
- API ampliata
per controllare la riproduzione dell'animazione web. La nuova versione aggiunge il supporto per le operazioni di composizione, consentendoti di controllare il modo in cui gli effetti vengono combinati e fornendo nuovi gestori che vengono chiamati quando si verificano eventi di sostituzione del contenuto. L'API Web Animations ora supporta anche Promise per definire l'ordine in cui vengono mostrate le animazioni e controllare meglio il modo in cui le animazioni interagiscono con altre funzionalità dell'applicazione. - Diverse nuove API sono state aggiunte alla modalità Origin Trials (funzionalità sperimentali che richiedono un'attivazione separata). Origin Trial implica la possibilità di lavorare con l'API specificata dalle applicazioni scaricate da localhost o 127.0.0.1, o dopo la registrazione e la ricezione di un token speciale valido per un periodo di tempo limitato per un sito specifico.
- API per l'accesso del Service Worker ai cookie HTTP, che funge da alternativa asincrona all'utilizzo di document.cookie.
- API per rilevare l'inattività dell'utente, consentendo di rilevare il momento in cui l'utente non interagisce con la tastiera/mouse, lo screen saver è in esecuzione, lo schermo è bloccato o si sta lavorando su un altro monitor. L'informazione dell'applicazione sull'inattività viene effettuata inviando una notifica dopo aver raggiunto una soglia di inattività specificata.
- regime , consente allo sviluppatore di utilizzare un isolamento più completo dell'elaborazione dei contenuti in un processo separato in relazione all'origine (origine - dominio + porta + protocollo), piuttosto che al sito, al costo di interrompere il supporto per alcune funzionalità legacy, come la sincronia esecuzione di script utilizzando document.domain e chiamando postMessage() per inviare messaggi alle istanze WebAssembly.Module. In altre parole, Origin Isolation consente di organizzare la separazione tra diversi processi in base al dominio della risorsa e non al sito con tutte le inclusioni estranee nelle pagine.
- API per utilizzare istruzioni SIMD vettoriali in applicazioni in formato WebAssembly. Per garantire l'indipendenza dalla piattaforma, offre un nuovo tipo a 128 bit che può rappresentare diversi tipi di dati compressi e diverse operazioni vettoriali di base per l'elaborazione dei dati compressi. SIMD consente di aumentare la produttività parallelizzando l'elaborazione dei dati e sarà utile durante la compilazione del codice nativo in WebAssembly. Per abilitare il supporto SIMD, puoi utilizzare l'impostazione "chrome://flags/#enable-webassembly-simd".
- Stabilizzato e ora distribuito al di fuori delle Prove Origin
API , che fornisce metadati sul contenuto precedentemente memorizzato nella cache dalle applicazioni Web in esecuzione in modalità Progressive Web Apps (PWS). L'applicazione può salvare vari dati sul lato browser, incluse immagini, video e articoli e, quando la connessione di rete viene persa, utilizzarli utilizzando le API Cache Storage e IndexedDB. L'API di indicizzazione dei contenuti consente di aggiungere, trovare ed eliminare tali risorse. Nel browser, questa API è già utilizzata per elencare un elenco di pagine e dati multimediali disponibili per la visualizzazione offline. - Versione API stabilizzata basato sul meccanismo Promise, che fornisce un modo più sicuro per controllare la disabilitazione del blocco automatico degli schermi e il passaggio dei dispositivi alle modalità di risparmio energetico.
- Nella versione per la piattaforma Android supporto per i collegamenti alle applicazioni, che consente di fornire un rapido accesso alle azioni tipiche più popolari nell'applicazione. Per creare scorciatoie, basta aggiungere elementi al manifest dell'applicazione web in formato PWA (Progressive Web Apps).
- Web Worker è autorizzato a utilizzare l'API , che consente di definire un gestore per la generazione di un report, chiamato quando si accede a funzionalità obsolete. Il report generato può essere salvato, inviato al server o elaborato da uno script JavaScript a discrezione dell'utente.
- API aggiornata , che consente di connettere un gestore al quale verranno inviate notifiche relative alle modifiche delle dimensioni degli elementi specificati nella pagina. Tre nuove proprietà sono state aggiunte a ResizeObserverEntry: contentBoxSize, borderBoxSize e devicePixelContentBoxSize per fornire informazioni più granulari, restituite come un array di oggetti ResizeObserverSize.
- Aggiunta la parola chiave "» per ripristinare lo stile dell'elemento al suo valore predefinito.
- Rimosso il prefisso per le proprietà CSS "-webkit-appearance" e "-webkit-ruby-position", che ora sono disponibili come ""E"«.
- In JavaScript supporto per contrassegnare metodi e proprietà di una classe come privati, dopodiché l'accesso ad essi sarà aperto solo all'interno della classe (in precedenza solo i campi potevano essere privati). Per contrassegnare metodi e proprietà come privati: prima del nome del campo è presente il segno “#”.
- In JavaScript sostegno (riferimento debole) agli oggetti JavaScript che consentono di conservare un riferimento all'oggetto, ma non impediscono al Garbage Collector di eliminare l'oggetto associato. È stato aggiunto anche il supporto per i finalizzatori, rendendo possibile definire un gestore che viene chiamato dopo il completamento della garbage collection dell'oggetto specificato.
- Il lancio delle applicazioni su WebAssembly è stato accelerato, grazie all'implementazione nel compilatore Liftoff iniziale (baseline) и . Gli strumenti per il debug di WebAssembly sono stati migliorati, le prestazioni di debug sono state notevolmente migliorate quando si utilizzano i punti di interruzione (in precedenza, per il debug veniva utilizzato l'interprete e ora il compilatore Liftoff).
- Negli strumenti per sviluppatori web pphttps://developers.google.com/web/updates/2020/05/devtools è stato aggiornato il pannello per l'analisi delle prestazioni. Aggiunte informazioni generali sulla metrica (Total Blocking Time), che mostra per quanto tempo la pagina sembra essere disponibile, ma in realtà non lo è (ovvero la pagina è già stata renderizzata, ma l'esecuzione del thread principale è ancora bloccata e l'immissione dei dati non è possibile). Aggiunta una nuova sezione Esperienza per l'analisi delle metriche (Cumulative Layout Shift), che riflette la stabilità visiva del contenuto. Il pannello di ispezione degli stili CSS fornisce un'anteprima delle immagini specificate tramite la proprietà " background-image ".
Oltre alle innovazioni e alle correzioni di bug, la nuova versione elimina . Molte delle vulnerabilità sono state identificate come risultato di test automatizzati con strumenti , , , и . Un problema (CVE-2020-6510, buffer overflow nel gestore del recupero in background) è contrassegnato come critico, ovvero consente di aggirare tutti i livelli di protezione del browser ed eseguire codice sul sistema al di fuori dell'ambiente sandbox. Nell'ambito del programma di pagamento di premi in denaro per la scoperta di vulnerabilità per la versione corrente, Google ha pagato 26 premi del valore di 21500 dollari (due premi da 5000 dollari, due premi da 3000 dollari, un premio da 2000 dollari, due premi da 1000 dollari e tre premi da 500 dollari). L'entità delle 16 ricompense non è stata ancora determinata.
Fonte: opennet.ru